T

Text Machine

Potentes herramientas de texto, en tu navegador

Decodificador de JWT

Decodifica cualquier JSON Web Token para inspeccionar su encabezado, su payload y sus claims en un formato legible y, si quieres, verifica una firma HMAC (HS256/384/512). Todo permanece en tu navegador.

Token codificado

Cómo usar Decodificador de JWT

  1. 1

    Pega tu token

    Pega un JSON Web Token codificado en el campo de entrada. El decodificador lo divide automáticamente en encabezado, payload y firma.

  2. 2

    Lee los claims

    Inspecciona el encabezado y el payload decodificados como JSON formateado y revisa los claims registrados, como la expiración y la fecha de emisión, mostrados como fechas legibles.

  3. 3

    Verifica la firma

    Para los tokens HMAC, ingresa el secreto de firma para confirmar que la firma es válida y que el token no ha sido manipulado.

  4. 4

    Copia lo que necesites

    Copia el JSON formateado del encabezado o del payload al portapapeles para usarlo en pruebas, documentación o depuración.

Preguntas frecuentes

¿Qué es un JSON Web Token (JWT)?
Un JSON Web Token es una forma compacta y segura para URL de representar claims entre dos partes. Consta de tres partes codificadas en Base64URL —un encabezado, un payload y una firma— separadas por puntos, y se usa ampliamente para la autenticación y la autorización en las API web.
¿Decodificar un JWT revela la contraseña o el secreto?
No. El encabezado y el payload solo están codificados en Base64URL, no cifrados, por lo que cualquiera puede leerlos; por eso nunca debes guardar secretos sensibles dentro de un token. El secreto de firma en sí nunca forma parte del token y no se puede recuperar decodificándolo.
¿Cómo funciona aquí la verificación de la firma?
Para los algoritmos HMAC (HS256, HS384, HS512), la herramienta recalcula la firma a partir del encabezado, el payload y el secreto que proporciones usando la Web Crypto API integrada en tu navegador, y luego la compara con la firma del token. Los algoritmos asimétricos como RS256 y ES256 requieren claves públicas, por lo que se decodifican pero no se verifican.
¿Qué significan los claims exp e iat?
exp (tiempo de expiración) e iat (emitido en) son claims registrados que se almacenan como timestamps Unix en segundos. Este decodificador los convierte en fechas legibles y muestra si el token está activo, aún no es válido o ha expirado según el reloj de tu dispositivo.
¿Se envía mi token a un servidor?
No. La decodificación y la verificación de la firma se ejecutan íntegramente en tu navegador. Tu token y tu secreto nunca se suben, registran ni almacenan, por lo que incluso los tokens de producción permanecen completamente privados.

Herramientas relacionadas

Sigue trabajando con estas prácticas herramientas

URL Encoder / Decoder

Codificar / Decodificar Base64

Conversor de HTML a Texto

Formateador de JSON

Probador de Regex

Generador de Gradientes CSS